A Microsoft destacou a necessidade de garantir a segurança de dispositivos de tecnologia operacional (OT) expostos à internet após uma série de ataques cibernéticos direcionados a esses ambientes desde o final de 2023.

“Esses ataques repetidos contra dispositivos OT enfatizam a necessidade crucial de melhorar a postura de segurança dos dispositivos OT e evitar que sistemas críticos se tornem alvos fáceis”, disse a equipe de Inteligência de Ameaças da Microsoft.

A empresa observou que um ataque cibernético a um sistema OT poderia permitir que atores maliciosos interferissem nos parâmetros críticos usados em processos industriais, seja programaticamente por meio do controlador lógico programável (PLC) ou usando os controles gráficos da interface humano-máquina (HMI), resultando em mau funcionamento e interrupções do sistema.

Além disso, a empresa afirmou que os sistemas OT frequentemente carecem de mecanismos de segurança adequados, tornando-os propícios à exploração por adversários e à execução de ataques “relativamente fáceis de executar”, fato agravado pelos riscos adicionais introduzidos pela conexão direta de dispositivos OT à internet.

Isso não apenas torna os dispositivos detectáveis por atacantes por meio de ferramentas de varredura da internet, mas também pode ser usados para obter acesso inicial, aproveitando senhas de login fracas ou software desatualizado com vulnerabilidades conhecidas.

Na semana passada, a Rockwell Automation emitiu um comunicado instando seus clientes a desconectar todos os sistemas de controle industrial (ICSs) que não devem ser conectados à internet devido a “tensões geopolíticas elevadas e atividades cibernéticas adversárias globalmente”.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) também divulgou um boletim próprio alertando para hacktivistas pró-Rússia direcionando sistemas de controle industrial vulneráveis na América do Norte e Europa.

“Specificamente, os hacktivistas pró-Rússia manipularam HMIs, causando bombas de água e equipamentos de sopradores a excederem seus parâmetros de operação normais”, afirmou a agência. “Em cada caso, os hacktivistas maximizaram os pontos de ajuste, alteraram outras configurações, desativaram mecanismos de alarme e alteraram senhas administrativas para bloquear os operadores de WWS.”

A Microsoft enfatizou ainda que o início da guerra Israel-Hamas em outubro de 2023 levou a um aumento nos ataques cibernéticos contra ativos OT mal protegidos e expostos à internet desenvolvidos por empresas israelenses, muitos deles conduzidos por grupos como Cyber Av3ngers, Soldiers of Solomon e Abnaa Al-Saada, filiados ao Irã.

Os ataques, segundo a empresa, visavam equipamentos OT implantados em diferentes setores em Israel fabricados por fornecedores internacionais, bem como aqueles provenientes de Israel, mas implantados em outros países.

Esses dispositivos OT são “principalmente sistemas OT expostos à internet com postura de segurança precária, potencialmente acompanhados por senhas fracas e vulnerabilidades conhecidas”, acrescentou a gigante da tecnologia.

Para mitigar os riscos apresentados por essas ameaças, é recomendado que as organizações garantam a higiene de segurança de seus sistemas OT, reduzindo a superfície de ataque e implementando práticas de confiança zero para evitar que os atacantes se movam lateralmente dentro de uma rede comprometida.

O desenvolvimento ocorre à medida que a empresa de segurança OT Claroty desvendou uma cepa de malware destrutivo chamada Fuxnet que o grupo de hackers Blackjack, suspeito de ser apoiado pela Ucrânia, teria usado contra a Moscollector, uma empresa russa que mantém uma grande rede de sensores para monitorar os sistemas subterrâneos de água e esgoto de Moscou para detecção e resposta de emergência.

O BlackJack, que compartilhou detalhes do ataque no início do mês passado, descreveu o Fuxnet como “Stuxnet em esteroides”, com a Claroty observando que o malware provavelmente foi implantado remotamente nos gateways de sensores alvo usando protocolos como SSH ou o protocolo de sensor (SBK) sobre a porta 4321.

O Fuxnet tem a capacidade de destruir irrevogavelmente o sistema de arquivos, bloquear o acesso ao dispositivo e destruir fisicamente os chips de memória NAND no dispositivo constantemente gravando e regravando a memória para torná-la inoperável.

Além disso, é projetado para reescrever o volume UBI para impedir que o sensor reinicie e, em última instância, corromper os próprios sensores enviando uma inundação de mensagens fictícias do Medidor-Bus (M-Bus).

“Os atacantes desenvolveram e implantaram malware que visava os gateways e deletavam sistemas de arquivos, diretórios, desativavam serviços de acesso remoto, serviços de roteamento para cada dispositivo e reescreviam memória flash, destruíam chips de memória NAND, volumes UBI e outras ações que interrompiam ainda mais a operação desses gateways”, observou a Claroty.

De acordo com dados compartilhados pela empresa de cibersegurança russa Kaspersky nesta semana, a internet, clientes de e-mail e dispositivos de armazenamento removíveis surgiram como as principais fontes de ameaças para computadores na infraestrutura OT de uma organização no primeiro trimestre de 2024.

“Os atores maliciosos usam scripts para uma ampla gama de objetivos: coletar informações, rastrear, redirecionar o navegador para um site malicioso e enviar vários tipos de malware (spyware e/ou ferramentas de mineração silenciosa de criptomoedas) para o sistema ou navegador do usuário”, disse. “Esses se espalham via internet e e-mail.”